複選題

12. 依照 CNS 27002: 2023 的建議，於使用電子通訊設施進行資 訊傳送時，規則、程序及協議宜考量下列那些項目？(複選)
(A) 偵測及防範可透過使用電子通訊傳輸之惡意軟體
(B) 方便使用者存取，電子郵件自動轉寄至外部郵件位址
(C) 保護以附件形式通訊之敏感性電子資訊
(D) 依使用者習慣自主使用即時傳訊等外部公共服務

總結

根據 ISO/IEC 27002:2022 Control 5.14 – Information Transfer，在使用電子通訊設施進行資訊傳送時，規則、程序及協議宜涵蓋下列事項：惡意軟體的檢測與防範、敏感資訊附件的保護、正確收件人之驗證，以及對使用公共通訊服務的事前授權等要素 (ISMS.online)。
此外，標準明確指出應對可透過各種媒介（電子郵件、即時訊息等）傳輸的威脅進行範疇化管理，使組織能根據資訊分類對傳輸過程實施相應防護 (Infocerts LLP)。
因此，就本題所列選項，應予考量的項目為 (A) 偵測及防範可透過使用電子通訊傳輸之惡意軟體 及 (C) 保護以附件形式通訊之敏感性電子資訊 (PRETESH BISWAS)。

各選項解析

(A) 偵測及防範可透過使用電子通訊傳輸之惡意軟體

• 符合Control 5.14 f)條文：要求「在網路或任何形式之電子存儲媒體接收的任何資料」以及「電子郵件與即時訊息附件」上執行惡意軟體掃描，並採用並定期更新偵測與修復軟體。 (مرجع مستندات فناوری و اطلاعات)

• Infocerts 也指出，資訊傳輸程序應包括「預防及偵測可經由電子通訊傳輸之惡意軟體」機制。 (Infocerts LLP)

(B) 方便使用者存取，電子郵件自動轉寄至外部郵件位址

• 不符合最佳實踐：標準強調「確保所有通訊均發送至正確收件者，並消除錯誤發送至錯誤地址的風險」，因此不得無限制地自動轉寄至外部地址。 (ISMS.online)

• ISO/IEC 27002 A.13.2.3 強調，對使用任何公共通訊服務（如即時訊息、社交平台）必須取得事前授權，進一步禁止未經控管的自動轉寄行為。 (Infocerts LLP)

(C) 保護以附件形式通訊之敏感性電子資訊

• 符合Control 5.14：規則與協議應「保護以附件形式通訊之電子敏感資訊」，通常透過加密或數位簽章方式，並根據資料分類決定保護強度。 (ISMS.online)

• Infocerts 亦明列「保護以附件形式通訊之敏感資訊」為資訊傳輸政策的必要項目。 (Infocerts LLP)

(D) 依使用者習慣自主使用即時傳訊等外部公共服務

• 不符合Control 5.14：標準明定「使用任何公共通訊服務前須先獲授權」，不得放任使用者自行依習慣使用未經審核的外部平台，以免資訊暴露。 (ISMS.online)

• Pretesh Biswas 也建議，公司應對所有通訊設施（含外部即時訊息服務）建立正式規則與協議，並明定授權流程。 (PRETESH BISWAS)

正確答案（複選）

(A)、(C)。
這兩項為 ISO/IEC 27002:2022 所建議在電子通訊資訊傳輸中，於規則、程序及協議層面必須考量的要素。